Le RGPD exige une AIPD lorsque le traitement des données est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques. Les développeurs, incertains que le traitement présente de tels risques, décident d’évaluer le traitement en adoptant les neuf critères susmentionnés suggérés par le groupe de travail Article 29.
| Critères detraitement à haut risque | ||
| Évaluation ou notation (par exemple, profilage) | ✗ | Ne s’applique pas |
| Prise de décision automatisée avec effet juridique ou effet significatif similaire | ✗ | Ne s’applique pas |
| Suivi systématique | ✗ | Ne s’applique pas |
| Données sensibles ou à caractère hautement personnel | ✓ | S’applique (voir ci-dessous) |
| Données traitées à grande échelle | ✓ | S’applique (voir la section 4.2.1) |
| Mise en correspondance ou combinaison d’ensembles de données (au-delà des attentes raisonnables de la personne concernée) | ✗ | Ne s’applique pas |
| Données concernant les personnes vulnérables | ✗ | Ne s’applique pas |
| Utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles | ✗ | Ne s’applique pas (voir ci-dessous) |
| Lorsque le traitement en lui-même empêche les personnes concernées d’exercer un droit ou d’utiliser un service ou un contrat | ✗ | Ne s’applique pas |
L’analyse révèle que le traitement répond à au moins deux critères. Le premier concerne le type de données personnelles qui vont être traitées. Puisque, dans le cadre de cette activité de recherche, les empreintes palmaires ont été établies en tant que données biométriques, les développeurs concluent que ces données répondent au critère de sensibilité et de caractère hautement personnel. Le deuxième critère concerne l’ampleur du traitement. Les développeurs ont déjà établi que le traitement est qualifié de “grande échelle” (cf. 4.2.1 “Désigner un délégué à la protection des données (DPD)”).
Les développeurs s’interrogent également sur le critère “Utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles”. Il ne s’applique pas puisque l’activité est centrée sur la recherche et qu’une application concrète à un contexte organisationnel n’est pas envisagée dans l’activité actuelle.
| Analyse de l’impact sur la protection des données | |||
| Le traitement est-il à “haut risque” ? | Oui | ✓ | L’AIPD est obligatoire |
| Non | L’AIPD est facultatif | ||